원플러스 스마트폰 업데이트, 하드웨어 수준의 롤백 방지 기능 도입

 (consumerrights.wiki)
1P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 2026년 1월 배포된 ColorOS 16.0.3.501 펌웨어하드웨어 기반 롤백 방지(anti-rollback) 기능을 포함해, 구버전 설치나 커스텀 ROM 플래싱을 영구적으로 차단
  • 해당 업데이트는 Qualcomm 프로세서의 전자 퓨즈(eFuse) 를 물리적으로 변경해, 이전 버전 설치 시 기기가 완전히 작동 불능(하드브릭) 상태로 전환
  • OnePlus 13, 15, Ace 5 시리즈 등 다수 모델이 영향을 받았으며, 일부 구형 모델의 다운그레이드 패키지도 공식 사이트에서 삭제됨
  • XDA 포럼에서는 커스텀 ROM 사용자에게 “.500, .501, .503 버전 OTA 업데이트를 피하라”고 경고하며, 이미 업데이트한 기기는 커스텀 ROM 설치를 중단할 것을 권고
  • OnePlus와 OPPO는 공식 입장을 내지 않았으며, 업계에서는 삼성 Knox보다 훨씬 강력한 제한으로 평가됨

사건 개요

  • 2026년 1월, OnePlus가 배포한 ColorOS 16.0.3.501 펌웨어하드웨어 수준의 롤백 방지 기능이 포함됨
    • 이 기능은 사용자가 구버전 펌웨어나 커스텀 ROM을 설치하지 못하도록 영구적으로 차단
    • Qualcomm 칩셋 내부의 Qfprom(Programmable Read-Only Memory) 영역에 존재하는 전자 퓨즈(eFuse)를 ‘블로우(blow)’하여 상태를 변경
  • 퓨즈가 한 번 변경되면 소프트웨어로 복구할 수 없으며, 메인보드 교체만이 유일한 복구 방법으로 명시됨
  • OnePlus는 해당 메커니즘에 대해 공식 성명이나 해명 발표 없음

배경

  • OnePlus는 2013년 Pete Lau와 Carl Pei가 설립, 초기에는 CyanogenMod 기반의 커스텀 ROM을 탑재한 OnePlus One으로 모딩 커뮤니티에서 인기를 얻음
  • 이후 Cyanogen과의 계약 종료 후 OxygenOS(글로벌)와 HydrogenOS(중국)를 개발
  • 2021년 OPPO의 ColorOS와 코드베이스를 통합하면서, 현재의 ColorOS 기반 시스템으로 전환됨

타임라인

  • 1월 18일: ColorOS 16.0.3.501 업데이트 후, 사용자가 구버전으로 되돌리려다 EDL 모드(9008) 진입 및 복구 불가 사례 보고
  • 1월 19일: XDA 포럼 사용자 AdaUnlocked가 CPU 퓨즈 손상 증거와 함께 경고 스레드 게시
    • 유료 복구 서비스들도 “Snapdragon 8 Elite 기기는 다운그레이드 금지” 경고
    • 일부 사용자는 메인보드 교체 필요 사례 보고
  • 1월 19일 이후: OnePlus가 공식 포럼에서 다운그레이드 펌웨어 링크 삭제, OnePlus 12용 패키지도 제거
  • 1월 24일: AdaUnlocked가 “기존 ROM이 동일 버전 번호로 재패키징되어 퓨즈 트리거 포함” 사실 확인

영향받은 기기

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3 등도 포함
  • 16.0.2.402 이하 버전은 영향 없음, 커뮤니티는 .500, .501, .503 버전 OTA 회피 권고
  • Android Authority는 OPPO Find X8 시리즈가 고위험군이며, OnePlus 11·12도 유사 업데이트 가능성 언급

기술적 메커니즘

  • Qfprom eFuse는 한 번만 프로그래밍 가능한 전자 퓨즈로, 전압 펄스로 상태가 ‘0’에서 ‘1’로 변경되면 되돌릴 수 없음
  • 부팅 시 Primary Boot LoaderXBL(eXtensible Boot Loader) 을 검증하고, 펌웨어 버전이 퓨즈 값보다 낮으면 부팅 거부
  • 새 펌웨어가 정상 부팅되면 Qualcomm TrustZone을 통해 추가 퓨즈를 블로우, 최소 버전값을 영구 기록
  • EDL 모드(USB 9008) 는 이 보호를 우회할 수 없음
    • Firehose 프로그래머가 OEM 서명 필요하며, 퓨즈가 이미 변경된 경우 작동 불가
  • XDA 설명에 따르면, “퓨즈 블로우”는 물리적 손상이나 열이 아닌 논리 게이트의 전기적 전환으로, 이전 소프트웨어 실행 경로를 완전히 차단

커스텀 ROM에 대한 영향

  • XDA 포럼은 “ColorOS 16.0.3.501 이후 버전에서 기존 커스텀 ROM 설치 시 즉시 하드브릭 발생” 경고
  • 대부분의 커스텀 ROM이 퓨즈 정책 도입 이전 펌웨어 기반으로 제작되어, 새 펌웨어와 호환되지 않음
  • 개발자 AdaUnlocked는 커스텀 ROM, 포트, GSI 작업이 퓨즈 적용 기기에서는 무용지물이 된다고 언급
  • 커뮤니티는 업데이트된 기기에서는 커스텀 ROM 설치 금지, 개발자가 새 펌웨어 기반 지원을 명시할 때까지 대기 권장

기업 대응

  • 2026년 1월 22일 기준, OnePlus와 OPPO는 공식 성명, 포럼 답변, SNS 언급 모두 없음
  • 1월 19일 공식 포럼에서 다운그레이드 패키지 삭제가 의도적 조치로 해석됨

타 제조사와의 비교

  • 삼성 Knox도 eFuse 기반 보안 기능을 사용하지만, 비공식 펌웨어 설치 시 Samsung Pay·보안폴더 비활성화 수준에 그침
  • Android Authority는 OnePlus의 방식이 훨씬 강력하며, 부팅 자체를 차단한다고 명시
  • DroidWin은 “EDL 플래싱은 전체 사용자 중 1~2%만 사용하는 기능인데, 이를 막기 위해 다수 사용자에게 영향을 주는 것은 비합리적”이라고 지적
GN⁺ 1일전  [-]
Hacker News 의견들

  • 전쟁 상황에서 미국의 적국들이 기기에서 해방될 거라는 말이 나왔음
    Qualcomm의 Qfprom(One-Time Programmable Fuse) 기능이 언급되었는데, 이는 한 번만 쓸 수 있는 전자 퓨즈로 anti-rollback을 구현하는 데 사용됨
    이런 기능을 만든 게 참 ‘사려 깊다’는 비꼼이 있었고, 그래서 중국 Loongson이나 러시아 Baikal 같은 CPU가 제재받는 이유가 이런 프로그램적 퓨즈보다 비활성화가 어렵기 때문이라는 의견이 나왔음

    • 이런 메커니즘은 부트로더 다운그레이드 방지를 위해 존재함
      신뢰할 수 있는 컴퓨팅 체인에서 한 번 취약점이 생기면 영원히 깨지기 때문에, 이를 막기 위한 장치라는 설명임
      25년 전 Motorola p2k 시절에도 있었던 오래된 개념이며, 신뢰 컴퓨팅 자체가 악한 것은 아니라는 입장임
    • OTP 메모리는 거의 모든 보안 시스템의 핵심 구성요소임
      기기 고유 키나 인증서 체인의 루트가 이 퓨즈에 해시되어 있어, 공격자가 옛 펌웨어를 올려 취약점을 악용하지 못하게 함
      오히려 지금까지 이런 기능이 없었다는 게 놀랍다는 반응임
    • eFuse는 오래전부터 MCU나 프로세서에서 제조 단계에 쓰여온 기술임
      예를 들어 오디오 입출력 보드처럼 동일한 MCU를 쓰지만 구성에 따라 다르게 동작해야 할 때, eFuse로 설정을 고정해 펌웨어가 잘못된 GPIO를 설정하지 않게 함
    • 더 단순한 방법으로는 CPU 내부의 킬 스위치 로직 블록을 숨겨 특정 비트 시퀀스를 감지하면 작동하게 하는 방법도 있음
    • 중국이 RISC-V 오픈소스 아키텍처에 투자하는 이유도 이런 제재나 폐쇄적 기술 의존을 피하기 위한 전략으로 보인다는 의견임

  • 이번 사안은 단순히 수리할 권리를 넘어서 소유권 자체의 문제라고 주장함
    원격 업데이트를 통해 사용자가 기기를 완전히 소유하지 못한다는 점을 다시 보여준다고 함

    • 자동차도 마찬가지로, 지붕의 통신 모듈을 끄지 못하게 되어 있음
      제조사가 이메일로 오일 교체 시기를 알려줄 정도로 통제하니, 과연 우리가 자동차를 ‘소유’한다고 할 수 있냐는 의문을 제기함
    • 구매 영수증이 내 소유권의 증거인데, 이런 대규모 원격 비활성화는 CFAA(컴퓨터 사기 및 남용법) 위반이며, 실질적으로는 사기 판매에 가깝다고 주장함
      경영진이 이를 알고 있었다면 RICO(조직범죄법) 위반일 수도 있다고 함
      설령 소송에서 이겨도 결국 “다음 OnePlus 폰 10달러 할인 쿠폰” 정도로 끝날 거라며 냉소적인 반응을 보임

  • OnePlus가 이런 일을 해서 얻는 게 뭐냐는 질문이 나왔음
    혹시 업데이트 실패로 메인보드 교체가 늘어나면 수익이 오르는 구조 아니냐는 의심도 있었음
    그리고 예전 그린라인 사건이 소프트웨어 업데이트 중 하드웨어 퓨즈가 잘못 작동한 사례일 수도 있다고 추측함

    • 도난된 폰을 초기화해 다시 활성화할 수 있는 버그가 있었는데, 이번 조치는 다운그레이드 공격 방지를 위한 것이라는 설명임
      도난 방지나 통신사·Google 요구사항 준수를 위한 조치일 수 있음
    • 부트로더 취약점이 물리적 접근으로 임의 OS를 부팅할 수 있게 만들었기 때문에, eFuse로 다운그레이드 차단을 해야 함
      이는 커스텀 ROM 사용 자체를 막는 건 아니고, 이전 버전 ROM만 막는 것임
      새 펌웨어 기반으로 빌드된 ROM은 정상적으로 부팅 가능하다고 함
      따라서 ROM 개발자들이 새 펌웨어를 지원하면 다시 커스텀 ROM 사용이 가능해질 것임
    • 경영진 입장에서는 하드웨어 통제권을 사용자에게 주고 싶지 않음
      하드웨어 판매만으로는 수익이 부족하니, 사용자를 자사 OS 생태계에 묶어두고 데이터 수집을 통해 이익을 얻으려는 구조라고 비판함
    • Apple도 비슷하게 7일 후 다운그레이드 불가 정책을 두고 있음
      OnePlus는 하드웨어 방식, Apple은 서명 기반 방식으로 구현했을 뿐임
      사용자가 직접 OS를 서명하고 실행할 수 있는 권리가 보장되어야 한다는 주장임
      iOS 26에서 Apple Watch 동기화 문제를 겪은 불만도 함께 언급됨

  • 이런 eFuse 기반 anti-rollback은 이미 10~20년 전부터 SoC에서 일반적인 기능임
    루트 익스플로잇이 발견되면 eFuse를 태워 이전 취약한 펌웨어로 돌아가지 못하게 하는 게 표준 보안 절차임
    ROM이나 탈옥의 매력은 이해하지만, 그것은 취약한 구버전 펌웨어에 의존하는 행위라는 설명임

    • 하지만 어떤 사용자는 “그건 정상적이지 않다”고 반박함
      내가 산 폰이라면 어떤 소프트웨어를 돌릴지 내가 결정할 권리가 있어야 한다는 입장임
      만약 업데이트가 내 데이터를 다른 나라로 전송한다면, 이전 버전으로 되돌릴 자유가 있어야 하는데
      이번 변경은 그 자유를 막고, 시도하면 폰이 벽돌이 된다고 함

  • OP에 따르면 이번 변경은 부트로더 언락 자체를 막는 것은 아님
    다만 이전 커스텀 ROM과는 호환되지 않게 되어, 새 eFuse 상태에 맞는 ROM을 개발해야 함

    • 이에 대해 “그럼 구체적으로 어떻게 해야 호환되냐”는 질문이 나왔음
      eFuse 상태에 맞는 ROM을 만드는 과정이 궁금하다는 반응임

  • 어떤 사용자는 어제 업데이트 알림을 보고 자동 업데이트를 꺼버렸음
    상황을 더 파악하기 전까지는 업데이트하지 않겠다고 함

  • “영웅으로 죽거나, 오래 살아서 악당이 된다”는 인용으로 OnePlus의 변화를 풍자함

    • 다른 사용자는 “Nord 라인 출시 때부터 이미 조짐이 보였다”고 덧붙임

  • EU의 Cyber Resilience Act(CRA) 가 2027년부터 모든 기기에 변조 불가 부팅을 의무화할 예정이라 함
    이로 인해 FOSS나 수리 가능성이 줄고, 벤더가 사라지면 하드웨어가 벽돌이 되는 부작용이 생길 것이라는 우려임

  • 예전에는 Mediatek SoC 기반 무브랜드 안드로이드폰들이 기본 언락 상태였고, 거의 벽돌이 되지 않아 모딩 문화가 번성했음
    eFuse는 있었지만 소프트웨어가 이를 사용하지 않았다고 회상함

  • 부팅 과정에서 XBL(Extensible Boot Loader) 이 Qfprom 퓨즈의 anti-rollback 버전을 읽어 펌웨어 내 버전과 비교함
    새 펌웨어가 성공적으로 부팅되면 TrustZone을 통해 퓨즈를 태워 최소 버전을 갱신함
    커스텀 ROM이 이전 펌웨어 기반이면 즉시 차단된다고 함

    • 이에 대한 기술적 설명으로, XBL과 ABL(Secondary Bootloader) 이 버전 정보를 가지고 있고, eFuse의 값보다 낮으면 거부됨
      Android Verified Boot(AVB)가 커널 해시를 vbmeta 파티션의 서명과 비교하며, Replay Protected Memory Block(RPMB) 에 최소 버전이 저장되어 롤백을 방지함
      super 파티션은 읽기 전용 루트 파일시스템으로 dm-verity로 보호됨
    • 또 다른 사용자는 “이게 가능하려면 서명된 메타데이터에 버전이 포함되어야 한다”고 덧붙임
      만약 사용자가 자체 서명하거나 서명 검증을 끌 수 있다면, 버전 조건만 맞추면 원하는 부트를 실행할 수 있을 것이라고 설명함
답변달기